文章引讀

01.楔子

02.企業多分支組網的演進

? 2.1 傳統Hub-Spoke VPN組網

? 2.2 傳統動態VPN組網

? 2.3 SDWAN 1.0: 面向企業的SDWAN

? 2.4 SDWAN 2.0: 面向服務提供商的SDWAN

? 2.5 SDWAN 3.0: 領灣 面向企業與服務提供商相結合的SDWAN

03.多種組網方式的比較

01

寫在前面的話

網絡世界永恒的話題,就是組網。從局域網,城域網到廣域網,每個細分領域都有說不完的話題。今天,我們把話題聚焦在企業多分支互聯的組網上。

企業多分支的組網,用通俗的話講,就是企業的多個分支,通過虛擬專用網絡技術,以Internet網絡為基礎,進行私有網絡互聯。當然,也有土豪套餐,就是全程采用專線技術,構建企業自己的私有網絡。今天,我們暫不討論土豪套餐,重點關注前者。

02

企業多分支組網的演進

2.1 傳統Hub-Spoke VPN組網

拓撲:

實際組網中最常見的是公司總部與多個分支機構通過點到多點IPSec VPN互通,典型組網如下圖所示

數據面:

該場景的數據路徑通常分為兩種:

? 分支只與總部有數據交互,分支之間并不需要業務互通。

? 分支之間需要數據互通,需要總部中轉。

從數據路徑上分析,路徑二缺點很明顯:到總部中轉的代價是,浪費帶寬資源,浪費總部設備資源,延長數據路徑,增加故障點。

管理面:

從配置管理角度看,IPSec的底層配置邏輯還是略顯復雜,需要資深網工才能駕馭,能理解下圖,方能開工。

理解了配置原理,設計好了配置模板,再來看配置工作量:每添加一個分支,都要配置一遍。大規模部署,不得不考慮一下。

2.2 傳統動態VPN組網

傳統Hub-Spoke的組網模型,分支之間的流量需要繞行Hub,帶來了諸多缺陷,在多數場景是不允許的。

一種簡單的解決方案,就是需要通信的站點之間都建立IPSec隧道,流量按需選擇隧道,也就是Full-Mesh組網模型。但這種只是理論上的解決方案,配置管理指數級增長,且要求每個站點都具備公網IP,落地不切實際。

Cisco 推出的DMVPN解決方案,就是用來解決上述問題的,既解決Hub-Spoke的流量繞行缺陷,又解決了Full-Mesh的繁瑣配置及公網需求。其他硬件廠商都推出了類似的解決方案,Huawei的DSVPN,H3C的DVPN,Juniper的AC-VPN,Fortinet的ADVPN。

該方案是由幾個協議配合完成的,以Cisco的DMVPN為例,基本思路與流程如下:

先建立Hub-Spoke模型的IPSec隧道。Spoke與Spoke之間的隧道則是按需動態建立的,采用動態點對多點的GRE隧道技術 – MGRE。Spoke與Spoke建立之前,必須知道對方的地址;這依賴NHRP(下一跳解析協議)來實現。NHRP,基于C/S模型,Hub端充當Server,Spoke端充當Client,Client端啟動后,會向Server端注冊,Server端會獲取和管理所有Client端的隧道信息。DMVPN,當一個Spoke想向另一個Spoke發送數據時,首先需要到Server端查詢對端Spoke的信息,然后動態建立隧道,進行數據傳輸;同時,需要進行隧道保活,當一段時間沒有數據后,隧道拆除。動態路由,動態路由協議需要運行在隧道上,用于站點之間的業務路由學習與更新。

技術復雜度再度升級,技術發燒友的福音,IT運維交付人員的噩夢。

2.3 SDWAN 1.0: 面向企業的SDWAN

面向企業的SDWAN解決方案是對傳統的IPSec VPN組網的延伸,在企業各個站點邊緣的CPE間建立隧道,無論是走Internet還是其他專線,都只提供Underlay的傳輸線路,企業的組網完全在服務提供商提供的網絡之上。從物理上來看,CPE可放在企業的總部/數據中心/分支網,而從組網上來看,無論是Hub-Spoke還是Full Mesh,各站點間邏輯上都是一跳可達。

從數據路徑上看,面向企業的SDWAN模式,和傳統的VPN組網并沒有不同。那么,這種方案到底帶來了哪些改進呢?概括起來,主要有以下幾個方面:

? 引入了控制器的角色,用于CPE的發現與管理,并動態向其下發用于建立隧道的信息,以及組網所需要的路由信息,大大的提高了配置效率。

? 增加了WAN鏈路的監控,優化選路以及鏈路的故障切換。

上述優勢非常明顯,但也有明顯的不足,就是數通通路還是承載在公共網絡之上的,所有的鏈路優化也是基于公共網絡的,在某些場景下,質量與專線差別明顯。

2.4 SDWAN 2.0: 面向服務提供商的SDWAN

首先說明一下,SDWAN2.0并非SDWAN1.0簡單的升級版本,準確的說,應該是兩種不同的解決方案思路。所以,增加了”面向企業“和”面向服務提供商“的描述。

基本上,服務提供商已經擁有了全國甚至全球范圍內的骨干網節點,并能夠為企業提供MPLS VPN或其他專線接入,專用骨干網的服務質量在絕大部分場景下優于公共網絡的質量。

面向服務提供商的SDWAN解決方案的思路是,利用已有的專用骨干網,集中精力解決最后一公里的接入、優化和管理。具體的實施方案通常是在各個骨干節點建立POP點,部署SDWAN網關設備,接入現有的專用骨干網。

面向企業端,為企業端的CPE提供IPSec接入。

該方案的組網方式與數據路徑較之前發生了較大的改變,CPE只需要與就近的POP點建立IPSec隧道,從而實現了個企業分支之間的互聯。其優勢總結如下:

? 盡可能利用專用骨干網,提升整體的網絡服務質量。

? 簡化了CPE之間的隧道建立模式,每個分支節點只需要建立1條或2條(備份或負載分擔)隧道,就能輕松完成Full-Mesh組網。

? 繼承了面向企業SDWAN中,控制器對于CPE的發現與管理,及隧道與路由策略的動態計算等優勢。

? 繼承了面向企業SDWAN中,CPE WAN鏈路的監控,優化選路以及鏈路故障切換等優勢。

但該方案也存在明顯的不足,就是POP點通常只會覆蓋一,二線城市,這樣,對于某些同城/省組網的時候,其網絡質量就不如面向企業的SDWAN組網模式。因為同城之間,直接通過公共網絡互聯,要比經過POP點節省了網絡路徑的開銷。

2.5 SDWAN 3.0 LinkWAN

面向企業與服務提供商相結合的SDWAN

領灣提出的SDWAN 3.0,繼承了SDWAN 1.0和SDWAN 2.0的優勢部分,同時解決了兩者不足的部分,為企業提供靈活、最佳的按需組網方式。

該方案的基本思路是,在同城或同省互聯,且公共網絡的服務質量可以滿足的場景下,采用CPE與CPE之間直接建立隧道的方式,其分支流量不經過POP節點;同城/省內的一臺/兩臺Hub節點接入到POP點,為該城/省內其他分支訪問其他城/省的分支提供數據通路。其效果是,同城/省內直接互訪,跨城/省經過POP節點互訪,達到了不同場景下的路徑最優化。

03

多種組網方式對比

下面按照配置管理、數據路徑、網絡健壯性、運行監控等維度,進行比較。

配置管理評估維度:

? 配置邏輯復雜度

? 配置工作量:隨著站點的增加,工作量的增加比例

數據路徑維度:

? 流量是否必須經過Hub繞行

? 服務質量對公網質量的依賴程度

? WAN鏈路的優化程度

網絡健壯性維度:

? 單點故障程度

? 運行監控維度

? 全網可視化視圖監控程度

? WAN鏈路質量監控,故障切換程度

上述比較可以看出,面向企業+服務提供商相結合的SDWAN組網方式,對于跨地域多分支的組網,適應能力更強,應用更靈活。

審核編輯：符乾江